Cliniques Elsan : LockBit 3.0 revendique une cyberattaque

C’est ce mardi 24 janvier 2023, peu avant 13h30, qu’est apparue, sur le site vitrine de la franchise mafieuse LockBit 3.0, la revendication d’une cyberattaque avec rançongiciel contre le groupe de santé Elsan.

Dans une déclaration adressée à la rédaction, un porte-parole du groupe, qui opère près de 140 établissements de santé en France, indique que « grâce à son équipe de veille en sécurité informatique, ELSAN a détecté une cyberattaque dans la soirée du 17 janvier contre des serveurs du siège du groupe dont les répertoires de fichiers contiennent des données administratives du groupe ».

Et d’ajouter que « par prudence, des mesures préventives ont été prises pour renforcer la protection des systèmes d’information avec notamment des coupures d’accès externes à internet dans les établissements du groupe. Les logiciels des établissements (gestion administrative du patient et dossier patient informatisé) sont pleinement fonctionnels ».

Le CERT Santé, également mobilisé sur l’incident, assure de son côté que « cet incident est resté circonscrit au SI du siège, sans rebond vers les cliniques du Groupe ». Toutefois, « celles-ci sont encore déconnectées du SI central », mais elles « ne représentent pas de risques cyber pour les établissements et laboratoires qui coopèrent avec elles ». Enfin, « les investigations numériques sont toujours en cours, l’incident est sous contrôle et les services enquêteurs ont été saisis ».

Pour autant, mi-décembre, au moins l’une des cliniques du groupe se disait, selon nos informations, affectée par un « bug informatique », les personnels opérant avec crayon et papier. Selon Elsan, « il peut arriver qu’une clinique ait un bug informatique qui l’oblige à passer en mode dégradé pendant quelques heures, comme cela a peut-être été le cas » à ce moment-là.

La revendication de la cyberattaque publiée sur le site vitrine de LockBit 3.0 fait état du vol de plus de 820 Go de données. Leur divulgation est annoncée pour le dimanche 5 février.

La cyberattaque a été initialement révélée par nos confrères de La Voix du Nord. À ceux-ci, Elsan indiquait alors avoir « détecté une tentative d’intervention sur les serveurs du siège à Paris ». Le groupe assurait alors qu’aucun « de nos établissements n’a été impacté ; aucune donnée médicale n’a été touchée » et « l’activité a pu se poursuivre normalement ».

Le secteur public de la santé a compté pour 10 % des interventions de l’Agence nationale de la sécurité des systèmes d’information (Anssi) en 2022, selon son dernier panorama de la cybermenace, soit une petite dizaine de cas, le plus spectaculaire ayant probablement été celui du Centre Hospitalier Sud-Francilien, fin août dernier. Elle impliquait déjà un affidé de LockBit 3.0.

Avec plus d’une centaine d’établissements désignés opérateurs de services essentiels (OSE), l’implication de l’Anssi n’a rien de surprenant. Et si les incidents affectant le secteur de la santé sont généralement retentissants, rien ne suggère qu’il soit plus concerné par les cyberattaques que les autres secteurs d’activité en France.